Antonio Jose Segovia
fevereiro 14, 2017
Todos sabem que a informação é armazenada em sistemas de informação (estações de trabalho, laptops, smartphones, etc.), mas trocar informações via rede é necessário.
Muitos dos sistemas de informação neste mundo estão conectados a mesma rede principal – a Internet – e, sem esta rede, nossa sociedade seria bem diferente; de fato, a sociedade atua como a conhecemos não seria possível.
De qualquer forma, a Internet não é a única rede relevante para a segurança da informação. Outras redes comumente usadas são, por exemplo, redes locais (Local Area Networks LANs), redes de comunicação digital, redes de Internet das Coisas (Internet of Things – IoT), etc. Elas hospedam muitos serviços que precisam ser protegidos também.
O controle A.13.1.2 do Anexo A da ISO/IEC 27001:2013 basicamente foi desenvolvido para a segurança de serviços de rede, é o princípio básico deste controle é identificar mecanismos de segurança, níveis de serviço e requisitos de gestão relacionados a todos os serviços de rede.
Assim, o importante aqui é gerir a segurança dos serviços de rede, incluindo os casos onde o serviço é terceirizado.
Bem, o que é um serviço de rede? De acordo com a ISO/IEC 27002:2013, serviços de rede são basicamente a provisão de conexões, serviços de rede privada, firewalls, e Sistemas de Detecção de Intrusão. A ISO/IEC 27002:2013 também define características de segurança dos serviços de rede, que poderiam ser:
Assim, basicamente, se você quer gerir a segurança dos serviços de rede, você pode usar estes três tipos de hardware/software:
A propósito, este artigo sobre firewalls pode ser interessante para você: Como usar firewalls na implementação da ISO 27001 e ISO 27002.
Até este ponto, identificamos os serviços de rede, mas se queremos nos alinhar com a ISO 27001, precisamos ir um passo além. Isto significa que estes serviços de rede deveriam estar incluídos em acordos de serviços de rede (ou SLA, Service Level Agreements – Acordos de Nível de Serviço), sendo aplicáveis a serviços internos providos pela própria organização, e também a serviços providos por terceiros, pelo que eu quero dizer aqueles que são terceirizados.
Assim, para o desenvolvimento de um acordo de serviços de rede, basicamente você precisa considerar quais serviços de rede estão estabelecidos, como eles são oferecidos (a partir de recursos internos ou externos, etc.), níveis de serviço (24×7, resposta e tratamento de incidentes, etc.), e outros componentes chave. Se o serviço de rede é terceirizado, também é importante considerar reuniões periódicas com a organização externa, e nestas reuniões é importante rever os SLAs (seguindo o controle A.15.2 Gerenciamento da entrega do serviço do fornecedor).
Este artigo também pode ser interessante para você: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27001.
Para os mecanismos de segurança incluídos no SLA, a seleção poderia ser baseada nos resultados da avaliação de riscos (basicamente, para os maiores riscos, os mecanismos de segurança mais fortes serão necessários), usando os controles de segurança do Anexo A da ISO 27001), ou mesmo usando contatos da organização com grupos especiais de interesse para ambientes específicos como governo, militares, etc., onde a implementação de regulamentações específicas poderia ser necessária (seguindo o controle A.6.1.4 Contato com grupos especiais de interesse).
Este artigo pode prover a você mais informações: Grupos especiais: Um recurso útil para apoiar o seu SGSI.
Lembre-se que todas as suas informações estão armazenadas em sistemas de informação, e eles estão conectados por redes, e a troca de informações é possível através de serviços de rede (firewalls, IDS, IPS, VPNs, VLANs, etc.). Assim, se você quer se sentir seguro em sua organização, você precisa ser cuidadoso com a rede, controlando os serviços de rede, identificando firewalls, IDS, IPS, VPNs, etc., e os incluindo em acordos de serviços de rede.
O controle A.13.1.2 da ISO 27001 é um bom recurso com o aumento dos requisitos para a segurança de redes. Ele é específico para cada caso, e isso poderia ser explorado ao máximo – significando que você pode adequar mecanismos de segurança aos seus próprios requisitos usando a tecnologia já instalada. Sua organização ganhará resultados; mas mais importante – também ganharão seus clientes e usuários. E eles sabem como apreciar ter um parceiro de negócio que vê a segurança como um tópico altamente importante.
Veja este eBook: ISO 27001 Annex A Controls in Plain English para aprender mais sobre controles de segurança.
Nós agradecemos a Rhand Leal pela tradução para o português.